Les petites et moyennes entreprises sont de plus en plus souvent la cible de cyberattaques. Pourtant, bon nombre d’entre elles peinent encore à réfléchir à une approche pour renforcer leur niveau de cybersécurité. Car il ne suffit plus aujourd’hui de protéger les ordinateurs portables ou les réseaux. Il faut au contraire mettre en place une stratégie de « sécurité dès la conception ». Heureusement, les propriétaires d’entreprises peuvent s’inspirer des approches adoptées par les grands opérateurs d’infrastructures critiques et les adapter en fonction du profil et du degré de risque de leur organisation.
Par Daniel Giasson, directeur exécutif, Services et solutions de sécurité, RHEA Group Canada
Chaque année, le Forum économique mondial publie son rapport sur les risques mondiaux. Depuis quelques années, on y retrouve systématiquement les cybermenaces dans le top 10 des principaux risques. C’est loin d’être surprenant, puisqu’une cyberattaque ciblée peut bloquer l’accès aux approvisionnements en électricité, aux systèmes de communication et à d’autres infrastructures critiques, désormais incontournables dans notre vie quotidienne.
Les plus petites entreprises, toutefois, mettent souvent davantage, sinon impérativement l’accent sur la croissance. Résultat : la menace d’une cyberattaque leur paraît souvent bien éloignée et elles se contentent généralement d’installer un pare-feu ou une solution antivirus. Mais ces mesures ne font malheureusement plus le poids. Dès lors, par où une petite ou moyenne entreprise doit-elle commencer pour renforcer son niveau de sécurité ? Elle pourrait par exemple s’inspirer des grands opérateurs d’infrastructures critiques et adapter leurs modèles.
Apprendre des opérateurs d’infrastructures critiques
De plus en plus d’opérateurs d’infrastructures critiques adoptent une approche de « sécurité dès la conception » et reconnaissent qu’il est plus logique de réfléchir à la sécurité dès la conception des produits, des systèmes et des services, plutôt que d’essayer de les modifier par la suite. À titre d’exemple, les agences de défense sont de plus en plus nombreuses à adopter cette approche lorsqu’elles conçoivent de nouveaux appareils.
Dans le cadre d’un projet européen visant à créer un système d’aéronef télépiloté (SATP) tactique, à savoir un type de drone, RHEA Group a intégré le consortium dès le début dans l’optique claire de garantir la cyberrésilience de l’aéronef[i]. RHEA Group applique la méthodologie de la conception simultanée, qui permet de prendre en considération tous les composants d’un système complexe dans leur ensemble, y compris les exigences de sécurité, et de les mettre en balance tout au long du processus de conception.
Toute organisation a de bonnes raisons financières d’adopter cette approche de « sécurité dès la conception », même si ses dimensions sont réduites et si elle n’a pas la prétention d’être une « infrastructure critique ». Une étude menée par l’Institut national américain des normes et des technologies (National Institute of Standards and Technology, NIST) a démontré qu’il était financièrement intéressant de bien faire les choses aux stades précoces de la planification des exigences et de l’architecture, étant donné qu’il est environ 10 fois plus cher de corriger des défauts aux stades de l’intégration et des essais des composants, 15 fois plus cher de le faire pendant les essais du système et de réception, et pas moins de 30 fois plus cher de le faire au stade de la production et après la mise en circulation. Un principe qui se vérifie tant pour les questions de sécurité que pour tout autre composant à réparer ou à modifier.
Investir tôt pour réaliser des économies plus tard
Il vous semble peut-être tout naturel de garder les questions de sécurité pour plus tard, une fois que vous aurez terminé la conception, voire le prototypage, mais il est clairement démontré que c’est en investissant à un stade précoce que l’on en tire le meilleur retour.
Un rapport de recherche du Ponemon Institute[ii] soutient cette approche proactive et affirme : « En empêchant les cybercriminels de pénétrer dans les systèmes et de les endommager, les organisations peuvent gagner des ressources, de l’argent, du temps, éviter des dommages et protéger leur réputation. » En partant du coût moyen d’une attaque de phishing, par exemple, le Ponemon Institute a calculé que les dépenses consacrées à la prévention permettraient d’économiser 682 650 USD. Que vous vous souciiez de vos systèmes internes ou qu’une organisation tierce s’interroge sur l’impact de l’achat de vos produits ou services sur sa sécurité, il est vital d’investir dans la sécurité dès le premier jour.
Adopter une approche de sécurité dès le premier jour
Et donc, qu’est-ce que cela signifie concrètement pour les propriétaires de petites et moyennes entreprises qui envisagent de mettre au point de nouveaux systèmes ou de commercialiser de nouveaux produits ?
Cela signifie que la sécurité doit faire partie intégrante du cycle de développement des systèmes, mais aussi de n’importe quel produit. Si vous mettez au point un nouvel avion par exemple, la sécurité dès la conception implique d’examiner l’impact des risques lors de la conception initiale ET après toute modification de conception. Elle nécessite de définir clairement les contrôles et les exigences de sécurité. Elle inclut un environnement de conception sécurisé, des essais fréquents et une formation appropriée. Pour les organisations de plus grande ampleur, un cyber range permet une émulation des systèmes de l’organisation et peut servir non seulement à former le personnel à tous les niveaux, mais également à tester des scénarios de cyberattaque réalistes spécifiques à un environnement donné.
Ce qui s’applique au développement d’avions peut également s’appliquer à d’autres secteurs d’activité, et notamment aux organisations offrant des services. Le principe est le même : il s’agit de ramener la sécurité au premier plan du développement commercial (systèmes, produits ou services) et non d’y réfléchir après-coup ou, pire encore, après avoir fait les frais d’une cyberattaque. Le plus important consiste à réunir les bonnes parties prenantes dès le départ.
Il est aussi crucial d’investir dans des outils de cybersécurité plus évolués. Si un propriétaire d’entreprise ne dispose pas d’une expertise en sécurité, investir dans ce domaine – soit en formant du personnel, soit en engageant temporairement un expert externe – portera ses fruits sur le long terme.
Ensuite, comme le feraient les experts de RHEA, assurez-vous que vos politiques, procédures ou processus en matière de sécurité soient rigoureux, complets et parfaitement traçables.
En savoir plus
Cet article de blog a été publié pour la première fois dans le cadre de la campagne « La cybersécurité. Dès. Maintenant. » de la Chambre de Commerce du Canada, en octobre 2022.